Sızma testleri konusunda çalışan birçok arkadaşımın yoğun olarak kullandığı Nessus zafiyet tarama aracı zaman zaman bulunduğumuz ağ ve altyapı durumlarına bağlı olarak bize farklı uyarılar verebilmekte.
Özellikle bazı hata mesajları önemli olabiliyor, hata mesajları dikkate alınmadığında tarama soruçları hatalı olabiliyor, host kaçırma veya bulgu kaçırma gibi durumlar ortaya çıkabiliyor. Bu nedenle alınan hata mesajları dikkatli bir şekilde incelenmeli, hata mesajlarının sebebi analiz edilmeli ve hatanın sebebini tespit ederek ortadan kaldırmak gerekiyor. Aksi bir durumda tarama sonuçlarına güvenebilmek mümkün deği.
Aşağıdaki gibi bir hata mesajı alıyorsanız taramalarınızı durdurmanızı ve Nessus’un Settings > Advanced > Scanning alanındaki “PCAP Snapshot Length” değerini 1471 olarak set etmenizi öneririm.
Not: 1471 değeri bulunduğunuz ağ, işletim sistemi vb. değişkenlere göre değişiklik gösterebilir. Aşağıdaki komut ile sizin için ideal MTU değerini tespit edebilirsiniz. -s parametresi ile belirtilen değer MTU değeridir ve ifconfig çıktısında MTU değeriniz 1500 ise kullanabileceğiniz max MTU değeri 1472 olabilecektir. Mevcut MTU ifconfig komutu ile kontrol edilebilir.
eth0: flags=4163 mtu 1500
inet 10.100.0.18 netmask 255.255.255.0 broadcast 10.0.0.1
inet6 fe80::20c:29ff:fe48:4343 prefixlen 64 scopeid 0x20
ether 00:0c:29:48:43:43 txqueuelen 1000 (Ethernet)
RX packets 13791131 bytes 1986150467 (1.8 GiB)
RX errors 0 dropped 50 overruns 0 frame 0
TX packets 18092723 bytes 1333740993 (1.2 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Bu bilgi sadece sorunu çözmeniz için yeterli, işin mühendislik tarafını merak eden arkadaşlar aşağıdaki konu ve soruları araştırarak konu hakkında derinlemesine bilgi edinebilir.
ping -M do -c 4 -s 1473 10.0.0.1
ping -M do -c 4 -s 1472 10.0.0.1
ping -M do -c 4 -s 1471 10.0.0.1
Örnek Nessus Truncated hata mesajı:
A packet with actual length of 2802 bytes was truncated to 1524 bytes. The current snapshot length of 1524 for interface 'eth0' is too small. Consider either setting the pcap.snaplen preference to at least 2802 or ensuring your network is configured so that packets received by the OS are not greater than the device's MTU.
Kaynaklar: